Kritische Lücken bei Macromedia
ColdFusion und der JRun-Server enthalten eine Schwachstelle in JSESSIONID, mit der die Übernahme einer bereits authentifizierten Session eines Nutzers möglich ist. Über eine Schwachstelle der JRun-Managment-Konsole lässt sich außerdem beliebiger Code im Browser eines Nutzers ausführen. Mehr zu diesem Thema finden Sie in dem Grundlagenartikel Cross-Site Scripting und SQL-Injection.
Der IIS-Connector ist zudem von einer weiteren Sicherheitslücke betroffen. Werden URLs mit der Endung ;.cfm erweitert, so wird die angeforderte Datei nicht ausgeführt, sondern deren Quellcode angezeigt.
Im Modul für ausführliche Log-Dateien, dem verbose log module, ist ein Begrenzungsfehler enthalten, der einen Denial of Service ermöglicht. Dazu muss die Einstellung aber aktiviert sein, in der Voreinstellung ist dies nicht der Fall.
Macromedia hat bereits reagiert und Updates bereitgestellt, welche die Fehler beheben. Diese sind über das Support Center erhältlich.
Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (mja)
|
tecCHANNEL Buch-Shop |
|
|---|---|
|
Literatur zum Thema Sicherheit |
Titelauswahl |
|
Titel von Pearson Education |
|
|
PDF-Titel (50 % billiger als Buch) |